前端权限控制设计：拒绝硬编码判断 | 极客日志

JavaScript大前端

前端权限控制设计：拒绝硬编码判断

前端权限控制若散落在各页面，维护成本将急剧上升。探讨基于角色的 RBAC 模型，结合路由守卫与组件级封装实现集中管理。核心原则包括最小权限、动态获取及前后端双重校验。通过常量定义权限标识，利用指令或高阶组件统一拦截逻辑，避免硬编码判断，确保应用安全且易于扩展。

清心发布于 2026/4/8更新于 2026/5/2114 浏览

前端权限控制设计：告别硬编码判断

痛点分析

各位前端同行，咱们今天聊聊前端权限控制。别告诉我你还在每个页面写死权限判断，那感觉就像在每个房间都装一把不同的锁——管理起来要命。

最近看到一个项目，权限判断散落在 100 个文件里，改一个权限规则要改 100 处，维护成本极高。我就想问：你是在做权限控制还是在做权限混乱？

反面教材

// 分散的权限判断示例
// Page1.jsx
if (user.role !== 'admin') {
  return <div>无权限</div>;
}

// Page2.jsx
if (!user.permissions.includes('user:view')) {
  return <div>无权限</div>;
}

// Page3.jsx
if (user.role !== 'admin' && user.role !== 'manager') {
  return <div>无权限</div>;
}

这种写法的问题在于逻辑耦合严重。权限判断散落各处，一旦业务变更，你需要像扫雷一样逐个排查。这不仅增加了出错概率，也让新接手的人一头雾水。

前端权限控制的正确姿势

1. 基于角色的权限控制（RBAC）

核心思路是将权限配置集中管理，通过角色映射权限列表。这样修改权限时只需调整一处配置。

// permissions/index.js
const permissions = {
  admin: ['*'], // 所有权限
  manager: ['user:view', 'user:edit', 'report:view'],
  : [, ]
};


  () {
   userPermissions = permissions[user.] || [];
   userPermissions.() || userPermissions.(permission);
}

相关免费在线工具

Keycode 信息
查找任何按下的键的javascript键代码、代码、位置和修饰符。在线工具，Keycode 信息在线工具，online
Escape 与 Native 编解码
JavaScript 字符串转义/反转义；Java 风格 \uXXXX（Native2Ascii）编码与解码。在线工具，Escape 与 Native 编解码在线工具，online
JavaScript / HTML 格式化
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。在线工具，JavaScript / HTML 格式化在线工具，online
JavaScript 压缩与混淆
Terser 压缩、变量名混淆，或 javascript-obfuscator 高强度混淆（体积会增大）。在线工具，JavaScript 压缩与混淆在线工具，online
Base64 字符串编码/解码
将字符串编码和解码为其 Base64 格式表示形式即可。在线工具，Base64 字符串编码/解码在线工具，online
Base64 文件转换器
将字符串、文件或图像转换为其 Base64 表示形式。在线工具，Base64 文件转换器在线工具，online

// 权限指令（Vue）
const permissionDirective = {
  mounted(el, binding) {
    const { value } = binding;
    const user = store.getters.user;
    if (!hasPermission(user, value)) {
      el.remove();
    }
  }
};

<template>
  <button v-permission="'user:edit'">编辑用户</button>
  <button v-permission="'user:delete'">删除用户</button>
</template>

// router/index.js
const routes = [
  {
    path: '/admin',
    component: AdminLayout,
    meta: { requiresAuth: true, roles: ['admin'] },
    children: [
      {
        path: 'users',
        component: UserManagement,
        meta: { permission: 'user:manage' }
      }
    ]
  }
];

// 路由守卫
router.beforeEach((to, from, next) => {
  const user = store.getters.user;
  
  // 登录校验
  if (to.meta.requiresAuth && !user) {
    next('/login');
    return;
  }
  
  // 角色校验
  if (to.meta.roles && !to.meta.roles.includes(user.role)) {
    next('/403');
    return;
  }
  
  // 权限校验
  if (to.meta.permission && !hasPermission(user, to.meta.permission)) {
    next('/403');
    return;
  }
  
  next();
});

// components/Permission.jsx
function Permission({ permission, children, fallback = null }) {
  const user = useUser();
  
  if (!hasPermission(user, permission)) {
    return fallback;
  }
  return children;
}

// 使用示例
function UserPage() {
  return (
    <div>
      <h1>用户管理</h1>
      <Permission permission="user:create">
        <button>新建用户</button>
      </Permission>
      <Permission permission="user:delete">
        <button>删除用户</button>
      </Permission>
      <Permission permission="user:export" fallback={<span>无导出权限</span>}>
        <button>导出数据</button>
      </Permission>
    </div>
  );
}

// ✅ 权限常量定义
const PERMISSIONS = {
  USER_VIEW: 'user:view',
  USER_CREATE: 'user:create',
  USER_EDIT: 'user:edit',
  USER_DELETE: 'user:delete'
};

// ✅ 权限组合
const ADMIN_PERMISSIONS = [
  PERMISSIONS.USER_VIEW,
  PERMISSIONS.USER_CREATE,
  PERMISSIONS.USER_EDIT,
  PERMISSIONS.USER_DELETE
];

// ✅ 权限检查
const canEditUser = hasPermission(user, PERMISSIONS.USER_EDIT);

前端权限控制设计：拒绝硬编码判断

前端权限控制设计：告别硬编码判断

痛点分析

反面教材

前端权限控制的正确姿势

1. 基于角色的权限控制（RBAC）

更多推荐文章

相关免费在线工具

2. 路由权限控制

3. 组件级权限控制

实战技巧：权限控制指南

1. 权限设计原则

2. 最佳实践

最后想说的

更多推荐文章

相关免费在线工具

前端权限控制设计：拒绝硬编码判断

前端权限控制设计：告别硬编码判断

痛点分析

反面教材

前端权限控制的正确姿势

1. 基于角色的权限控制（RBAC）

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具

2. 路由权限控制

3. 组件级权限控制

实战技巧：权限控制指南

1. 权限设计原则

2. 最佳实践

最后想说的

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具